Is een penetratietest verplicht? Wet- en regelgeving in Nederland
Steeds meer organisaties vragen zich af: zijn wij eigenlijk verplicht een pentest te laten uitvoeren? Het antwoord hangt af van uw sector, de systemen die u beheert en de regelgeving waaraan u moet voldoen. Dit artikel geeft een helder overzicht.
Wanneer is een pentest wettelijk verplicht of sterk aanbevolen?
1. DigiD-koppeling (NIBAD)
Organisaties die gebruik maken van DigiD — zoals gemeenten, zorgverzekeraars en onderwijsinstellingen — zijn verplicht jaarlijks een ICT-beveiligingsassessment uit te laten voeren conform de NIBAD-norm. Dit assessment vereist een penetratietest van de webapplicatie en bijbehorende infrastructuur. Zonder goedgekeurd assessment kan Logius de DigiD-koppeling intrekken.
→ Meer informatie: DigiD pentest & ICT-beveiligingsassessment
2. NIS2-richtlijn
De NIS2-richtlijn (in Nederland geïmplementeerd als de Cyberbeveiligingswet) verplicht organisaties in essentiële en belangrijke sectoren tot het nemen van passende technische maatregelen. Dit omvat het periodiek testen van beveiligingsmaatregelen — in de praktijk via penetratietests en kwetsbaarheidsscans. Sectoren die vallen onder NIS2: energie, transport, financiën, gezondheidszorg, water, digitale infrastructuur en meer.
→ Meer informatie: NIS2 pentest
3. PCI DSS
Organisaties die kaartbetalingen verwerken (creditcards, Mastercard, Visa) vallen onder de PCI DSS-standaard. Requirement 11.4 verplicht expliciet een jaarlijkse penetratietest en een test na significante wijzigingen. Dit is geen aanbeveling maar een harde eis — zonder compliance riskeer je verlies van je verwerkingslicentie.
→ Meer informatie: PCI DSS pentest
4. ISO 27001
ISO 27001-certificering vereist technische beveiligingstests als onderdeel van het Information Security Management System (ISMS). Hoewel penetratietests niet letterlijk bij naam worden genoemd, is er een duidelijke verwachting dat organisaties hun beveiligingsmaatregelen actief toetsen. Auditors verwachten in de praktijk periodieke pentests als bewijs.
→ Meer informatie: ISO 27001 pentest
5. BIO (Baseline Informatiebeveiliging Overheid)
Alle Nederlandse overheidsorganisaties moeten voldoen aan de BIO. De BIO is gebaseerd op ISO 27001/27002 en stelt vergelijkbare eisen aan technische security testing. Gemeenten, provincies, waterschappen en rijksdiensten vallen hieronder.
→ Meer informatie: Pentest overheid & publieke sector
6. NEN 7510 (zorg)
Zorginstellingen die patiëntdata verwerken moeten voldoen aan NEN 7510. Dit omvat periodieke technische kwetsbaarheidsanalyses en penetratietests van systemen die toegang hebben tot elektronische patiëntendossiers.
→ Meer informatie: Pentest zorgsector
En als geen van deze regelgeving op mij van toepassing is?
Dan is een pentest juridisch gezien niet verplicht — maar nog altijd sterk aanbevolen. De AVG (Algemene Verordening Gegevensbescherming) verplicht organisaties tot het nemen van “passende technische maatregelen” om persoonsgegevens te beschermen. De Autoriteit Persoonsgegevens kan bij een datalek vragen welke maatregelen getroffen waren. Een aantoonbare pentest-geschiedenis is een sterke verdediging.
Samenvatting: bent u verplicht?
| Regelgeving | Van toepassing op | Pentest verplicht? |
|---|---|---|
| NIBAD / DigiD | Organisaties met DigiD-koppeling | Ja, jaarlijks |
| NIS2 | Essentiële & belangrijke sectoren | Ja, periodiek |
| PCI DSS | Betaalkaartverwerkers | Ja, jaarlijks + na wijzigingen |
| ISO 27001 | ISO-gecertificeerde organisaties | Ja, verwacht door auditors |
| BIO | Overheidsorganisaties | Ja, periodiek |
| NEN 7510 | Zorginstellingen | Ja, periodiek |
| AVG | Alle organisaties met persoonsdata | Sterk aanbevolen |
FAQ
Kan ik beboet worden als ik geen pentest laat uitvoeren?
Bij NIS2 en AVG-overtredingen kan de toezichthouder een boete opleggen — zeker als er na een incident blijkt dat basale beveiligingstests ontbraken. Bij PCI DSS en DigiD riskeert u verlies van de verwerkingslicentie respectievelijk de DigiD-koppeling.
Hoe vaak moet ik een pentest laten uitvoeren?
Bij de meeste regelgeving geldt jaarlijks als minimum, aangevuld met een test na significante systeemwijzigingen. Sommige frameworks schrijven ook kwartaalscans voor naast de jaarlijkse pentest.
Telt een kwetsbaarheidsscan ook als pentest?
Nee. Een kwetsbaarheidsscan is geautomatiseerd en vindt alleen bekende lekken. De meeste regelgeving vereist een echte penetratietest waarbij een menselijke tester actief probeert in te breken. Zie ook: verschil kwetsbaarheidsscan en pentest.
